COBIT v5 Prof. Luís Fernando Garcia [email protected] COBIT • Cobit • Control Objectives for Information and related Technology • ISACF – Information Systems Audit and Control Foundation • ISACA • www.isaca.org COBIT COBIT COBIT COBIT COBIT - versões • 1996 • Objetivos de controle para aplicações de negócios • 1998 – segunda versão • (+) Ferramenta de suporte a Implementação • 2000 – terceira versão • (+) Normas e guias para gestão • 2005 – quarta versão • (+) Melhoria dos controles/Segurança e ativos • 2007 – 4.1 • 2010 – 4.1 em Língua Portuguesa • 2012/abril – 5.0 (ainda somente em Inglês) COBIT (V5) Diferença entre Governança e Gestão de TI (até V4) COBIT – governança x gestão (V5) COBIT COBIT COBIT COBIT • Objetivos • As informações corporativas e a tecnologia para suportá-las não podem ser tratadas isoladamente … • .. TI considerada parte integrante da estratégia corporativa • Contribuir para o sucesso da entrega de produtos e serviços de TI – com foco mais acentuado no controle e não na execução. COBIT • Estabelece relacionamentos com os requisitos do negócio; • Organiza as atividades de TI em um modelo de processos genérico; • Identifica os principais recursos de TI, nos quais deve haver mais investimento; • Define os objetivos de controle que devem ser considerados para a gestão • GENÉRICO COBIT COBIT COBIT COBIT – Foco no negócio (até V4) COBIT COBIT – Focos/Pilares (até V4) • Alinhamento Estratégico • Ligação negócio-TI • Agregação de valor • Otimizar custos/comprovar valor da TI • Gerenciamento de recursos • Otimização de investimentos • Gerenciamento de riscos • Conhecimento/entendimento/responsabilidades • Medição de desempenho • Acompanhamento e monitoração da implementação da estratégia, do andamento dos projetos, medições COBIT – Princípio (v5) COBIT – Habilitadores (v5) COBIT – Habilitadores (v5) Princípios, políticas e quadros são os veículos para traduzir o comportamento desejado em orientações práticas para o dia-a-dia de gestão. Os processos descrevem um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas para atingir as metas de TI. As estruturas organizacionais são as principais entidades de tomada de decisão em uma empresa. A cultura, a ética e o comportamento dos indivíduos e da empresa são muitas vezes subestimada como fator de sucesso em atividades de governança e gestão. A informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas vezes a chave do produto da própria empresa. Os Serviços, a infraestrutura e as aplicações fornecem as empresas os recursos necessários para o processamento de informação. As pessoas, habilidades e competências são necessárias para a conclusão bem sucedida de todas as atividades, e para tomar decisões corretas e ações corretivas. COBIT – Estrutura • Foco nos requisitos de negócio • Abordagem de processos • Utilização extensiva de mecanismos de controle • Análise de medições COBIT – Foco no negócio • Gerenciar os recursos de TI • Usando processos • Para garantir entrega e qualidade • Dos serviços de TI COBIT – Foco no negócio • Critérios de controle: • • • • • • • Eficiência Eficácia Confidencialidade Integridade Disponibilidade Conformidade com regulações confiabilidade COBIT – Foco no negócio COBIT – Foco no negócio P Primário S Secundário COBIT – Processos • Modelo padrão de referência e uma linguagem comum • Ciclo: • Planejarconstruirexecutarmonitorar • 34 processos (V4) 37 processos (V5) • 4 domínios (V4) 5 domínios (V5) COBIT – Domínios (V5) • Avaliar, dirigir e monitorar • Alinhar, planejar e organizar • Construir, adquirir e Implementar • Entregar suporte e serviço • Monitorar, verificar e avaliar COBIT – Processos (V4) COBIT – Processos (V5) COBIT – Processos (V5) COBIT – Processos (V5) COBIT – Processos (V5) COBIT – Controle • O conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que eventos indesejáveis serão prevenidos ou mesmo detectados e corrigidos” COBIT – Controle • “Um objetivo de controle define um resultado desejado ou própósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica” COBIT – Controle • Objetivos genéricos: • • • • Dono para o processo/responsabilidades Repetibilidade Clareza de metas e objetivos Matriz responsável, aprovador, consultado, informado • Medição do desempenho do processo • Processo divulgado COBIT – Controle COBIT – Medições • • • • O que deve ser medido? Como ser medido? Onde obter os dados? Como agregar os resultados? • Modelo de maturidade (como no CMM) COBIT – Aplicabilidade • Avaliação dos processos de TI • Auditoria dos riscos operacionais de TI • Implementação modular da governança TI • Realização de benchmarking • Qualificação de fornecedores de TI Em/para: Gestão executiva Gestão de negócio Gestão de TI Auditores COBIT – Benefícios • • • • • • • Comunicação clara/direta/precisa Visão clara situação atual processos TI Redução de riscos Maior solidez no planejamento Alta visibilidade da melhoria da TI Redução de custos operacionais Melhoria da imagem COBIT – Maturidade (V5) 0 – Processo Incompleto: O processo não existe ou não atende seu objetivo. 1 – Processo Executado: O processo está implementado e atinge seu objetivo. 2 – Processo Gerenciado: Possui os atributos “Gerenciamento de Performance e Gerenciamento de Produto”. O processo está implementado de um modo gerenciado e seus produtos estão estabelecidos e controlados. 3 – Processo estabelecido: Possui os atributos “Definição de Processo e Implementação de Processo” é um processo definido capaz de atingir os seus resultados. 4 – Processo Previsível: Possui os atributos “Gerenciamento do Processo e Controle do Processo”, e agora opera dentro de limites para atingir seu resultado. 5 – Processo Otimizado: Possui os atributos “Inovação de Processo e Otimização de Processo”. O processo previsível é melhorado continuamente para atender as necessidades atuais e planejadas no COBIT www.isaca.org.br Fontes COBIT Guia 4.1 Pt-BR COBIT – Trabalho 1 da parte 2 • Individual • Até 30/09 (inclusive o período da aula) • Selecionar 2 processos de cada domínio (O QUE) (justificando) • e • propor solução no contexto da empresa (COMO) • Fonte: Guia oficial Cobit 4.1